'눈 뜨고 코 베이는' 페이스북 광고.. 유명인 사칭 계정 해킹
일론 머스크·젠다야 등 유명 인사 이미지 무단 도용해 악성코드 은밀 침투
댓글 0
기사입력
: 2025.05.09 09:43
[시큐리티팩트=최석윤 기자] 글로벌 보안 기업 비트디펜더(Bitdefender)가 페이스북 광고 네트워크를 악용한 정교한 악성코드 유포 캠페인을 상세히 포착해 공개하며 암호화폐 투자자들의 각별한 주의를 촉구했다. 8일(현지시각) HackRead에 따르면, 사이버 범죄자들은 바이낸스, 트레이딩뷰 등 유명 암호화폐 거래소의 이름과 일론 머스크, 젠다야와 같은 유명 인사들의 이미지를 무단으로 도용, 가짜 암호화폐 거래소 광고를 제작해 페이스북을 통해 대량으로 유포시키고 있는 것으로 드러났다.
비트디펜더의 보안 연구팀이 Hackread.com과 공유한 이번 조사 결과는, 공격자들이 다층적인 침투 방식을 통해 피해자의 시스템에 은밀하게 악성코드를 심는 과정을 소상히 밝히고 있다. 특히 가짜 웹사이트와 피해자 컴퓨터 간의 숨겨진 통신 채널을 구축, 악성 페이로드를 은밀하게 전달하는 지능적인 수법이 확인되어 충격을 주고 있다.
'무료' 유혹에 빠진 순간 악몽 시작
연구팀에 따르면, 공격자들은 페이스북 계정을 해킹하거나 허위 계정을 대량으로 생성하여 금전적 이득이나 암호화폐 보너스를 미끼로 한 현혹적인 광고를 게시하고 있다. 이러한 광고는 클릭 시 합법적인 암호화폐 플랫폼과 매우 유사하게 위장된 가짜 웹사이트로 사용자를 유도한다. 이 가짜 웹사이트는 마치 공식 클라이언트인 것처럼 위장한 악성 '데스크톱 클라이언트' 프로그램의 다운로드를 유도하는 것이 핵심 목표다.
사용자가 아무런 의심 없이 이 악성 데스크톱 클라이언트를 다운로드하고 실행하는 순간, 공격의 다음 단계가 은밀하게 진행된다. 프로그램 설치 과정에서 악성 DLL 파일이 생성되고, 이는 피해자의 컴퓨터 내부에 로컬 기반 서버를 가만히 백그라운드에서 실행시킨다. 이 숨겨진 서버는 공격자와 피해자의 시스템 간의 은밀한 C2(Command and Control) 센터 역할을 수행하게 된다.
더욱 교활한 점은, 가짜 웹사이트의 사용자 인터페이스(프런트엔드) 내부에 난독화된 스크립트가 숨겨져 있다는 것이다. 이 스크립트는 앞서 실행된 로컬 서버와 통신하며, WMI(Windows Management Instrumentation) 쿼리를 전송하고, 궁극적으로 추가 악성 페이로드를 실행하는 명령을 내린다.
PowerShell의 그림자… 감염 후에도 멈추지 않는 악성 행위
공격의 최종 단계는 더욱 심각한 위협을 내포하고 있다. 공격자들은 원격 서버로부터 추가적인 악성 소프트웨어를 다운로드하는 여러 개의 인코딩된 파워쉘(PowerShell) 스크립트를 실행하는 방식을 주로 사용한다. PowerShell은 윈도우 시스템 관리 도구로, 악성 행위자들이 시스템 깊숙이 침투하여 다양한 악성 행위를 수행하는 데 악용될 수 있다.
뿐만 아니라, 이번 캠페인에서는 공격자들이 고도의 샌드박스 검사 기술까지 구현한 것으로 밝혀졌다. 이는 사이버 범죄자들이 '가치 있다'고 판단하는 특정 인구 통계 및 행동 프로필을 가진 사용자에게만 악성코드가 전송되도록 필터링하는 지능적인 수법이다.
비트디펜더 연구원 이오누트 발타리우는 "특정 페이스북 광고 추적 매개변수가 없는 사용자, 페이스북에 로그인하지 않은 사용자, 또는 공격자들이 관심 없어 하는 IP 주소나 운영체제를 사용하는 사용자에게는 무해한 콘텐츠가 표시된다"고 지적하며, 공격자들의 치밀한 표적화 전략을 강조했다. 이러한 정교한 타겟팅 방식을 통해 공격자들은 보안 분석가들에게 노출될 위험을 최소화하면서, 최대한의 피해를 입힐 수 있는 사용자만을 집중적으로 공략하고 있는 것이다.
'눈 뜨고 코 베이는' 페이스북 광고 생태계
이번 악성코드 캠페인의 규모는 비트디펜더 연구팀이 수백 개의 악성 페이지 홍보 페이스북 계정을 발견하면서 그 심각성이 더욱 부각되었다. 놀랍게도, 어떤 경우에는 단 24시간 만에 단일 페이지에 100개가 넘는 악성 광고가 게재되기도 했다. 페이스북 측에서 이러한 사기성 광고들을 지속적으로 삭제하고 있지만, 상당수의 광고는 삭제되기 전에 이미 수천 건의 조회수를 기록하며 광범위한 피해를 야기할 수 있는 상황이다.
특히 공격자들의 타겟팅 전략은 매우 정교하게 설계되어 있다. 실제 사례로, 불가리아와 슬로바키아의 18세 이상 남성을 특정하여 광고를 노출시키는 사례가 확인되기도 했다. 이는 공격자들이 특정 국가나 인구 통계 집단을 집중적으로 공략하고 있음을 시사한다.
더욱 우려스러운 점은, 공격자들이 트레이딩뷰와 같은 합법적인 플랫폼의 공식 페이지를 완벽하게 모방한 가짜 페이스북 페이지까지 제작하고 있다는 것이다. 이들은 가짜 경품 행사 등을 홍보하는 조작된 게시물과 댓글을 통해 사용자들의 신뢰를 얻은 뒤, 악성코드를 유포하는 웹사이트로 연결되는 링크를 삽입하는 치밀함을 보였다.
끊이지 않는 페이스북 악용 사례… 플랫폼 보안 강화 '절실'
페이스북이 악성 소프트웨어 배포를 위한 주요 매개체 역할을 지속하고 있다는 사실은 간과할 수 없는 심각한 문제다. 앞서 모르피섹(Morphisec)에서 발표한 조사 결과에서도, 사이버 범죄자들이 가짜 AI 플랫폼 광고를 통해 새로운 정보 탈취형 악성코드인 누들파일 스틸러(Noodlophile Stealer)를 유포하고 있는 사실이 드러난 바 있다.
이러한 사례들은 사이버 범죄자들이 플랫폼의 광범위한 도달 범위와 정교한 광고 기능을 악의적인 목적으로 어떻게 효과적으로 활용하는지를 여실히 보여준다. 이는 사용자 스스로의 경각심 제고와 더불어, 페이스북과 같은 플랫폼 사업자의 보다 강력한 보안 조치 및 악성 광고 필터링 시스템 구축의 필요성을 절실히 강조하는 대목이다.
비트디펜더는 사용자들에게 온라인 광고에 대한 경계를 늦추지 말고, 사기 및 링크 검사 도구를 적극적으로 활용하며, 운영체제 및 보안 소프트웨어를 항상 최신 상태로 유지할 것을 강력히 권고했다. 또한, 페이스북에서 발견되는 의심스러운 광고를 즉시 신고하여 자신은 물론 다른 사용자들의 피해를 예방하는 데 동참해 줄 것을 당부했다. 사이버 범죄자들의 수법은 날마다 교묘해지고 있으며, 플랫폼 사업자와 사용자의 공동 노력을 통해서만 온라인 위협으로부터 안전을 확보할 수 있다.
